图db:如何触发事件?

时间:2017-01-16 08:49:22

标签: neo4j graph-databases

我们希望将Windows进程树信息存储在图形数据库中。

我们有一个端点检测工具,用于收集流程创建和删除信息。例如,进程id,启动进程的命令,父进程等。

数据将实时加载到图表数据库中。

Neo4j是否有办法在我们看到" iexplore.exe"时随时触发事件。作为" powershell.exe"等进程的父代。或" cmd.exe"?在某些情况下,iexplore和powershell / cmd之间可能还有其他几个进程。

例如:攻击者利用IE中的漏洞,丢弃磁盘上的文件,执行它,然后使用powershell.exe

图形数据库是否为我们提供了构建规则以捕获更复杂事件的能力?

1 个答案:

答案 0 :(得分:1)

您可以使用apoc triggers进行设置触发,使用apoc.es.postRaw进行外部API调用。例如:

CALL apoc.trigger.add(
        'iexplorer',
        'MATCH (P:Process {name:"iexplore.exe"})-[:parent_of*]->(C:Process)
           WHERE C.name IN ["powershell.exe", "cmd.exe"]
         WITH collect(distinct id(P)) as ids
         CALL apoc.es.postRaw("http://localhost", "neo4jevent", ids)  yield value
         RETURN value',
         '{phase:'after'}'
)
相关问题
最新问题